in Innovate Minds

Lỗi plugin WordPress nghiêm trọng cho phép hacker chiếm quyền admin

Hai lỗ hổng nghiêm trọng được tìm thấy trong plugin Page Builder WordPress được cài đặt trên hơn 1.000.000 trang web có thể cho phép hacker tạo tài khoản mới với quyền quản trị viên để chiếm lấy các trang web bị xâm nhập.

Các lỗ hổng bảo mật là Cross-Site Request Forgery (CSRF) dẫn đến các cuộc tấn công XSS ( Reflected Cross-Site Scripting) và chúng ảnh hưởng đến tất cả các phiên bản Page Builder từ phiên bản 2.10.15.

Kẻ tấn công có thể khai thác các lỗi bảo mật này bằng cách lừa quản trị viên trang web WordPress nhấp vào các liên kết hoặc tập tin đính kèm được tạo đặc biệt và thực thi mã độc trong trình duyệt của họ.

Page Builder là một plugin phổ biến được phát triển bởi SiteOrigin để giúp người dùng dễ dàng xây dựng một trang dưới dạng lưới rất tiện lợi.

 

Hai lỗ hổng bảo mật của Page Builder được đánh giá là mức độ nghiêm trọng cao bởi nhóm Threat Intelligence của Wordfence, người đã phát hiện ra chúng và báo cáo các vấn đề cho các nhà phát triển của plugin vào ngày 4 tháng 5.

Lỗi plugin WordPress nghiêm trọng cho phép hacker chiếm quyền admin 1

Nhóm phát triển đã phát hành một bản vá để khắc phục cả hai vấn đề bảo mật vào ngày hôm sau, vào ngày 5 tháng 5. Nhóm phát triển của Page Builder đã cập nhật plugin lên 2.10.16 gần một tuần trước để khắc phục hai lỗi bảo mật và người dùng được khuyến khích nâng cấp plugin để tránh các cuộc tấn công.

Tuy nhiên, chỉ hơn 220.000 trong tổng số 1 triệu trang web đã cập nhật cài đặt Page Builder của họ lên phiên bản vá mới nhất kể từ khi phát hành vào tuần trước.

Bắt đầu từ ngày 6 tháng 5, Hacker đang khai thác hai lỗ hổng khác trong các phần tử Elementor Pro và Ultimate Addons cho Elementor WordPress để thực thi mã độc từ xa tùy ý.

Lỗi plugin WordPress nghiêm trọng cho phép hacker chiếm quyền admin 2

Một loạt các cuộc tấn công khác nhằm vào hơn 900.000 trang web WordPress bắt đầu vào ngày 28 tháng 4 với những kẻ tấn công đang cố gắng chuyển hướng khách truy cập đến các trang web quảng cáo độc hại hoặc đặt lại các cửa hậu nếu quản trị viên của họ đăng nhập.

Để giảm thiểu các cuộc tấn công này, quản trị viên WordPress nên cập nhật ngay lập tức các plugin của họ để vá các lỗ hổng mà các tác nhân đe dọa có thể khai thác để thỏa hiệp các trang web của họ.

Theo BleepingComputer

designDeveloperWordpress

Written by Linh Nguyễn

0 0 votes
Article Rating
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments